Não Apenas Anúncios Irritantes: Pacotes de Adware Entregando Gh0st RAT
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Uma campanha recente entrega o Gh0st Remote Access Trojan juntamente com o componente de adware CloverPlus. Seu carregador oculta dois recursos criptografados, escreve-os em locais escolhidos aleatoriamente e lança o RAT através do rundll32.exe. O malware combina vários métodos de persistência com manipulação de token, sequestro de DNS e registro de teclas para manter o acesso ao longo do tempo, além de gerar receita através de abuso de cliques em anúncios. Seu uso de binários legítimos do Windows e camadas de ofuscação torna a detecção mais desafiadora.
Investigação
O Splunk Threat Research fez engenharia reversa do carregador e confirmou que ele carregava tanto um Gh0st RAT DLL embutido quanto o módulo de adware CloverPlus. A análise comportamental expôs a escalada de privilégios de token, verificações de registro para ambientes baseados em VMware, uso de um resolvedor drop morto, atrasos de sono baseados em ping, spoofing de DNS e múltiplas técnicas de persistência enraizadas no Registro do Windows. Os investigadores também documentaram indicadores, incluindo rundll32.exe execução incomum, lançamentos de payload de %temp%, e modificações específicas do registro vinculadas à cadeia de infecção.
Mitigação
Os defensores devem monitorar o rundll32.exe carregamento de arquivos com extensões incomuns ou a execução de conteúdo de diretórios não padrão. As equipes de segurança também devem bloquear ou alertar sobre a criação da entrada de registro do gerenciador do roteador RemoteAccess e mudanças suspeitas nas chaves Run. Os controles de rede devem restringir o acesso ao URL de resolvedor de drop morto identificado e sinalizar o comportamento de sono baseado em ping associado à evasão de malware. As políticas de controle de aplicações podem reduzir ainda mais o risco, impedindo que DLLs não autorizadas sejam carregadas.
Resposta
Quando esta atividade é detectada, isole o host afetado, colete evidências voláteis juntamente com as DLLs suspeitas e realize consultas baseadas em hash para confirmar a ameaça. Remova quaisquer entradas de registro maliciosas e serviços usados para persistência. Redefina as credenciais expostas, particularmente aquelas ligadas ao uso do RDP, e inspecione as configurações de DNS e o arquivo hosts para alterações não autorizadas. Uma revisão forense completa deve ser realizada para verificar se nenhum backdoor adicional ou payload secundário permanece.
Fluxo de Ataque
Detecções
Possíveis Pontos de Persistência [ASEPs – Software/NTUSER Hive] (via evento_registry)
Visualizar
Possível Descoberta de Configuração de Rede de Sistema (via cmdline)
Visualizar
Execução de Caminho Suspeito da Dll do Rundll32 (via criação de processo)
Visualizar
Uso Possível de PING para Execução com Atraso (via cmdline)
Visualizar
IOCs (HashSha256) para detectar: Não Apenas Anúncios Irritantes: Pacotes de Adware Entregando Gh0st RAT
Visualizar